RGPD : origine et périmètre

Suite au webinaire sur le RGPD nous vous proposons une série de quatre articles sur le sujet.

• Origine et périmètre du RGPD
• Données personnelles : ce qu’on peut faire avec et comment le faire
• Les grands principes du RGPD
• Des cas pratiques

Dans ce premier article, nous allons aborder l’origine et le périmètre du RGPD, le suivant s’intéressera au traitement des données personnelles.

Origine du RGPD

Le RGPD s’inscrit dans la continuité de l’article 8 de la CEDH (Convention européenne des droits de l’homme) sur le droit au respect de la vie privée et familiale ainsi que la loi française Informatique et Libertés de 1978. L’idée est de renforcer les droits des personnes, de responsabiliser les acteurs traitant des données et d’augmenter la coopération entre les autorités de protection des données au niveau européen.

Le RGPD institue les points suivants

• Chaque pays de l’Union européenne doit avoir une autorité indépendante de contrôle et de conseil (en France, c’est la Cnil). Elles sont regroupées dans le CEPD (Comité européen de la protection des données).

• Les sanctions administratives vont d’un simple rappel à l’ordre à une astreinte en passant par une amende pouvant aller d’un montant de 4 % du CA (Chiffre d’Affaires) et/ou 20 millions d’euros.

• Une transmission des infractions constatées peuvent être faite (en France, au procureur de la République).

• Les citoyens ont un droit de regard sur le traitement de leurs données et la possibilité de faire des actions collectives (équivalent de la « class action » américaine).

• Il est applicable pour tout résidant (permanent ou temporaire) ou entreprise opérant sur le territoire de l’Union européenne : il peut donc entrer en opposition avec le Cloud Act américain. Attention, si un Européen voyage (ou habite) hors de l’Union européenne et se connecte à un service non-européen, le règlement ne s’applique plus.

Les données concernées sont les suivantes (par ordre d’importance décroissant)

• Sensibles : race ou ethnie, opinion politique ou syndical, orientation sexuelle, santé, biométrique

• Assimilées à des données sensibles : infraction ou condamnation

• Présentant une sensibilité : numéros de compte (bancaires ou non) ou secret industriel

• Non-sensibles : noms, adresses postales et IP, courriels et téléphones (fixe et mobile)

Si vous suivez ces quatre actions définies par la Cnil vous êtes en bonne voie pour être en conformité avec le RGPD (Retrouvez l’article ici)

• Constituer un registre du traitement des données

• Faire le tri de ses données

• Respecter les droits des personnes

• Sécuriser les données

Quelques liens pour aller plus loin

Rapide historique

• 1950 : Art.8 de la CEDH (Droit au respect de la vie privée et familiale)
• 1974 : Projet Safari (interconnexion des fichiers nominatifs des administrations françaises)
• 1978 : Abandon du projet et création de la Cnil
• 2004 : Réforme de la Cnil et extension de ses droits par la directive européenne 95/46/CE
• 2016 : Règlement UE 2016/679 (RGPD)
• 2018 : Transposition du RGPD dans le droit français

Législatifs

• Directive européenne 95/46/CE
• Dossier législatif du projet de loi sur la protection des données personnelles
• Le RGPD, mode d’emploi
• Le RGPD expliqué ligne par ligne (en libre accès) :
  • articles 1 à 23
  • articles 24 à 50
  • articles 51 à 99
• Le Cloud Act
• Sanctions prévues :
  • administratives
  • pénales

Données personnelles

• Action collective
• Liste des données sensibles